Seguridad
Windows
Ciberseguridad
CEO
Hacker
ransomware
malware

Cómo puede justificar el CISO ante el CEO la inversión en ciberseguridad

El CISO es el perfil que más sabe lo que importa la seguridad dentro de la empresa. Por eso, su labor consiste en convencer al CEO para que se inviertan las cantidades necesarias en aras de mantener la empresa a salvo de cualquier amenaza. Lo que supone una lucha continua, pues son intereses que chocan: el CISO desea más inversión y el CEO, recortar gastos.

ciberseguridad agenda cio

Vaya por delante que, tal y como están los tiempos, con noticias casi a diario en los medios de comunicación que abundan en incidentes relacionados con la ciberseguridad, invertir en seguridad es una PRIORIDAD -sí, en mayúsculas- para la empresa.

No obstante, es entendible que existan reticencias en alguna a la hora de poner más dinero en algo que, en ocasiones, no conocen más que el CISO y sus compañeros más cercanos. Porque la seguridad siempre ha sido vista como esa parcela de la que se encargan unos bichos raros -frikis, más bien- que dirige un tipo más raro que ellos, incluso. Craso error.

Y la cuestión no es baladí. Un estudio del Instituto Ponemon reveló hace unos meses que muchos profesionales de seguridad (CISO) carecen del presupuesto suficiente y del apoyo de los equipos directivos de sus organizaciones (CEO).

Por desgracia, los hechos de las últimas semanas muestran la importancia del CISO y de su labor dentro de la empresa. Nadie mejor que él conoce el panorama de amenazas al que está expuesta la empresa y las consecuencias que supondrían para ella si una de esas amenazas penetra en su red. De ahí que pugne por mantener en buen estado la seguridad de la empresa.

Pero eso cuesta dinero, dinero que el CEO no está por la labor de soltar tan alegremente. Es entonces cuando el CISO tiene que echar mano de su repertorio de conocimientos para convencer a su máximo superior de la conveniencia de no escatimar gasto alguno en tan crítica área para la empresa.

Razones y argumentos

Porque hay una verdad plausible que sólo maneja el CISO: más que a los malware o a los ransomware, lo que más teme es la falta de formación y desconocimiento tanto de compañeros como de los directivos -CEO incluido- que dirigen la empresa para la que trabaja. Temor que se une a unos escasos presupuestos que le limitan su capacidad operativa.

¿Con qué arsenal de recursos cuenta el CISO para convencer de lo importante que es para la empresa invertir en seguridad? Muchos y variados:

· Para empezar, la seguridad ya no es sota, caballo y rey como antaño, cuando un antivirus era más que suficiente para mantener a raya la empresa de cualquier amenaza. Los tiempos han cambiado y, lo que es peor, la seguridad ahora es dinámica. Al CISO no sólo le preocupa que su empresa esté protegida, sino que también lo esté la información que entre y salga de ella. Eso implica marcar todos los parámetros necesarios para gestionar la información, pero también anticiparse e interpretar los ataques en caso de se produzcan. Y eso supone mucho trabajo y, asimismo, dinero para realizar ese trabajo de la mejor manera posible. Porque la cantidad de puertas abiertas que existen en la empresa obliga al CISO a buscar soluciones para todo. Y eso cuesta dinero… O bien dejar las puertas abiertas, con el riesgo que eso supone.

· El acceso a las nuevas tecnologías redunda en una gran cantidad de beneficios para la empresa. Sin ir más lejos, la movilidad. El hecho de que los trabajadores de una empresa puedan conectarse a la red desde cualquier lugar y momento y compartir información con el resto de compañeros se traduce en un aumento de su productividad… Y de las amenazas. Los dispositivos que usan para trabajar son la puerta preferida de los amigos de lo ajeno para perpetrar sus fechorías, de ahí que el CISO insista en reforzar la seguridad de esta área. Más inversión, en definitiva, para que la movilidad siga arrojando beneficios a la empresa… con total seguridad.

· Y un argumento definitivo: la seguridad no es un gasto, sino una inversión.

¿Puede parecer suficiente? No, no lo es.

Es necesario un cambio de enfoque, de ver la ciberseguridad, para mostrar al CEO el estado de la cuestión. Y eso implica un cambio de lenguaje, llamar a las cosas por su nombre. Así, el CISO no debe recurrir a eufemismos como hacker cuando se está enfrentado a lo que es, un delincuente. Y nada mejor que mostrar ejemplos reales, de lo ocurrido en otras empresas o de las noticias aparecidas en los medios de comunicación, para hacerle ver la verdadera magnitud del escenario al que se enfrenta la empresa que dirige.

El cambio de lenguaje es esencial para llamar a las cosas por su nombre, sin necesidad de recurrir a una jerga que siempre acaba por aburrir al CISO. Si en lugar de decir que El CPA de la placa no puede relacionarse con un APT que ha aprovechado las credenciales de usuario privilegiadas para instalar kits raíz en múltiples puntos finales, se le dice que es necesario comprar una herramienta que refuerza la seguridad para evitar que sean robados todos los datos de los clientes -de incalculable valor-, no sólo entenderá el mensaje, sino que terminará por dar su aprobación para la adquisición de dicha herramienta.

La seguridad no es un gasto, sino una inversión, decíamos. Un argumento que también le puede servir al CISO para acometer las mejoras que tiene en la cabeza y que redundará en una mejor seguridad. Como la modernización y actualización del sistema operativo utilizado en la mayoría de equipos. Las viejas versiones sin actualizar son un caldo de cultivo en el que las amenazas se mueven como pez en el agua, y el simple hecho de mostrar las consecuencias como Wanna Cry y su origen -brechas de seguridad en viejas versiones de Windows, especialmente XP- puede ser suficiente como para implicar al CEO en la necesidad de proceder a una actualización general. Invertir para ahorrar en desastres, en definitiva.

La enfermedad, siempre peor que el remedio

Los hechos están ahí, y el CISO sólo tiene que servirse de ellos para plantear el escenario al que se enfrenta la empresa. Un escenario real, repleto de amenazas y al que hay que conocer lo mejor posible. Y la mejor forma de conocerlo es con una buena defensa, bien nutrida y dispuesta a resistir los ataques. Sólo así se evitarán males mayores. ¿Cuánto de mayores? Eso dependerá del caso que se le haga al CISO dentro de su empresa…

INFORMACIÓN ADICIONAL

 

Concienciación en ciberseguridad. Evita que los ataques a tu empresa empiecen desde un error humano.

 
 
Consumo y Retail

Claves para gestionar la seguridad del 'endpoint' sin importar la ubicación

No hace falta mencionar alguna de las amenazas que últimamente han saltado a los medios de comunicación, ¿verdad? Los ciberdelincuentes, que no paran de elucubrar fechorías. Aprovechan cualquier vulnerabilidad para atacar los dispositivos de una empresa. Pero, en ocasiones, les basta con aprovechar la debilidad de únicamente uno. De...

Consumo y Retail

9 consejos para unas vacaciones seguras

¡Ya están aquí las vacaciones de verano! Para quien pueda disfrutarlas, claro. Una época para redoblar la seguridad de nuestros dispositivos móviles. Porque los ciberdelincuentes nunca descansan...